If-Koubou

Вашият смартфон има специален чип за сигурност. Ето как работи

Вашият смартфон има специален чип за сигурност. Ето как работи (Как да)

Новите телефони на Pixel 3 на Google имат чип за сигурност "Титан М". Apple има нещо подобно с "Secure Enclave" на iPhone. Телефоните на Samsung Galaxy и другите Android телефони често използват технологията TrustZone на ARM. Ето как те защитават телефона ви.

Основите

Тези чипове са основно отделни малки компютри в телефона ви. Те имат различни процесори и памет и те работят със собствените си малки операционни системи.

Редовната операционна система на телефона ви и приложенията, които се изпълняват върху него, не могат да се видят в зоната за защита. Това предпазва защитната зона от подправяне и позволява на защитената зона да изпълнява различни полезни неща.

Това е отделен процесор

Secure Enclave е част от системния хардуер на Apple от серията A-a-chip.

Всички тези чипове работят по малко по-различен начин. В новите Pixel телефони на Google, Titan M е истински физически чип, който е отделен от нормалния CPU на телефона.

С Secure Enclave на Apple и TrustZone на ARM, Secure Enclave или TrustZone не е технически различен "чип". Вместо това, той е отделен, изолиран процесор, вграден в основната система на устройството на чип. Въпреки че е вграден, той все още има отделен процесор и област на паметта. Мислете за него като чип в основния чип.

И в двата случая - било то Titan M, Secure Enclave или TrustZone - чипът е отделен "coprocessor". Той има свой собствен специален памет и работи със собствена операционна система. Тя е напълно изолирана от всичко останало.

С други думи, дори ако цялата ви операционна система за Android или iOS е била компрометирана от злонамерен софтуер и злонамереният софтуер е имал достъп до всичко, няма да има достъп до съдържанието на защитната зона.

Как предпазва телефона ви

Secure Enclave на Apple съдържа ключовете за биометричните данни на Face ID.

Данните в телефона ви се съхраняват шифровани на диска. Ключът, който отключва данните, се съхранява в защитната зона. Когато отключвате телефона си с своя ПИН, парола, идентификация на лицето или идентификатор за докосване, процесорът в защитената зона ви удостоверява и използва своя ключ, за да декриптира данните ви в паметта.

Този ключ за кодиране никога не напуска защитната зона на защитния чип. Ако хакерът се опитва да влезе, като познае няколко ПИН или пароли, защитният чип може да ги забави и да наложи закъснение между опитите. Дори ако това лице е нарушило главната операционна система на устройството ви, защитният чип ще ограничи опитите им да получи достъп до ключовете ви за защита.

На iPhone или iPad, Secure Enclave съхранява шифроващите ключове, които защитават вашето лице (за Face ID) или пръстовите отпечатъци (за Touch ID) информация. Дори някой, който е откраднал телефона ви и някак си е нарушил основната операционна система за iOS, няма да може да вижда информация за вашия пръстов отпечатък.

Чипът на Google Titan M може да защити и чувствителните транзакции в приложенията за Android. Приложенията могат да използват новия "StrongBox KeyStore API" на Android 9, за да генерират и съхраняват свои собствени частни ключове в Titan M. Google Pay ще изпробва скоро това. Може да се използва и за други видове чувствителни транзакции - от гласуване до изпращане на пари.

iPhones работят подобно. Apple Pay използва Secure Enclave, така че данните за вашата платежна карта се съхраняват и предават сигурно. Apple също така позволява на приложенията на телефона ви да съхраняват своите ключове в Secure Enclave за допълнителна сигурност. Secure Enclave гарантира, че собственият му софтуер е подписан от Apple преди зареждане, така че не може да бъде заменен с модифициран софтуер.

TrustZone на ARM работи много подобно на Secure Enclave. Той използва защитена област от главния процесор, за да изпълнява критичен софтуер. Тук могат да се съхраняват ключове за сигурност. Софтуерът за защита на KNOX на Samsung работи в района ARM TrustZone, така че е изолиран от останалата част от системата. Samsung Pay също използва ARM TrustZone, за да обработва сигурно информацията от платежна карта.

На новия Pixel телефон, чипът Titan M осигурява и буутлоудъра. Когато стартирате телефона си, Titan M гарантира, че използвате "последната известна безопасна версия за Android". Всеки, който има достъп до телефона ви, не може да ви превключи на по-стара версия на Android с известни дупки за сигурност. И фирменият софтуер на Titan M не може да бъде актуализиран, освен ако не въведете паролата си, така че нападателят дори не може да създаде злонамерен заместител на фърмуера на Titan M.

Защо вашият телефон се нуждае от надежден процесор

Samsung Pay използва ARM TrustZone и Samsung KNOX.

Без сигурен процесор и изолирана зона за памет вашето устройство е много по-отворено към атака. Защитеният чип изолира критични данни като ключове за шифроване и информация за плащане. Дори ако устройството ви е компрометирано, злонамереният софтуер не може да получи достъп до тази информация.

Защитената област също така намалява достъпа до вашето устройство. Дори ако някой има вашето устройство и замества операционната си система с компрометирана, сигурният чип няма да позволи да ги познаят за милиони ПИН кодове или пароли за секунда. Това ще ги забави и ще ги блокира от устройството ви.

Когато използвате мобилен портфейл като Apple Pay, Samsung Pay или Google Pay, данните за плащане могат да се съхраняват сигурно, за да се гарантира, че няма зловреден софтуер, работещ на устройството ви, да има достъп до тях.

Google също прави някои интересни нови неща с чипа Titan M, като например удостоверяване на буутлоудъра ви и гарантиране, че никой хакер не може да понижи операционната ви система или да замени вашия фърмуер на Titan M.

Дори атаката в стил Spectre, която позволява на дадено приложение да чете памет, която не принадлежи на него, няма да може да пробие тези чипове, тъй като чиповете използват памет, която е напълно отделена от основната системна памет.

Той предпазва телефона ви от фона

Няма потребител на смартфоннаистина ли трябва да знае за този хардуер, въпреки че трябва да ви накара да се чувствате по-сигурни, когато съхранявате чувствителни данни като кредитни карти и онлайн банкови детайли на вашия телефон.

Това е само готина технология, която работи безшумно, за да предпази телефона и данните ви, като ви поддържа по-сигурен. Много умни хора полагат много работа, за да осигурят съвременните смартфони и да ги предпазват от всякакви възможни атаки. И много работа отива да направи тази сигурност толкова лесно, че никога няма да ви се наложи да мислите за това.

Изображение на кредит: Google, Poravute Siriphiroon / Shutterstock.com, Hadrian / Shutterstock.com, Samsung